🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
إلى الخلف
ذكاء البرامج الضارة
تحليل البرامج الضارة والهندسة العكسية: تحليل Magecart Skimmer
تحليل البرامج الضارة والهندسة العكسية: تحليل Magecart Skimmer
December 16, 2020
دقيقة
تعد الهجمات التي تتضمن برامج ضارة واحدة من أكثر التهديدات انتشارًا على الإنترنت. البرامج الضارة عبارة عن شفرة ضارة تتسلل إلى الكمبيوتر وتعطل العمليات. يقوم المهاجمون بتطوير برامج ضارة وتخصيصها لخدمة أغراض محددة مثل تسجيل المفاتيح والاختطاف والتصيد الاحتيالي وما إلى ذلك، مع استهداف الشركات أو الأفراد في مختلف القطاعات. يمكن أن يساعد جمع الأفكار حول خصائص وسمات هذه البرامج الضارة في التخفيف من التهديدات الأمنية للمؤسسات وتحسين وضعها الأمني.
MA&RE: حصان السباق للذكاء المتعلق بالتهديدات
يسمح تحليل البرامج الضارة والهندسة العكسية (MA&RE) للمستجيبين للحوادث باستخراج معلومات التهديدات من عينات البرامج الضارة للحصول على معلومات تتعلق بالبرامج الضارة ومجموعة التهديدات المسؤولة. ستساعدنا MA&RE في اكتشاف المنطق الكامن وراء البرامج الضارة من خلال تحليل شفرة العمل الفعلية التي كتبها الفاعل المسؤول عن التهديد نفسه، وذلك تحت طبقات من التشويش التي ابتكرتها الجهات الفاعلة لإبعاد الباحثين عن مسارهم.
يمكن الحصول على معلومات التهديدات التالية بمساعدة MA&RE:
- مؤشرات التسوية (IOCs): عناوين URL/النطاقات/C2-IP
- تقنيات التهرب
- آليات العدوى
- استخدام نقاط الاستغلال/نقاط الضعف في يوم الصفر
- الحركة الجانبية والتسوية
في هذا المنشور، نستكشف عملية تحليل البرامج الضارة والهندسة العكسية (MA&RE) من خلال تحليل البرامج الضارة للقشط من Magecart.
ذا رايز أوف ماجيكارت
Magecart هي مجموعة قرصنة تستهدف أدوات وأنظمة عربة التسوق لسرقة معلومات الدفع من العملاء. تعتبر عربات التسوق أهدافًا سهلة لهجمات الاحتيال حيث أنه من الملائم تمامًا للجهات الفاعلة في مجال التهديد اختراق صفحات الدفع هذه وسحب تفاصيل الدفع (البطاقة) وغيرها من المعلومات الحساسة من المستخدمين.
مقشدة الويب عبارة عن برنامج ضار مكتوب بلغة JavaScript يستفيد منه المهاجمون عن طريق حقنها في مواقع الويب المستهدفة من أجل:
- قم بتسوية موقع الويب أو خادم الويب نفسه من خلال:
- محاولات تسجيل الدخول بالقوة الغاشمة
- هجمات التصيد
- الهندسة الاجتماعية
- استغلال الثغرات الأمنية المعروفة في البرامج
- تنفيذ هجمات سلسلة التوريد واختراق أدوات الطرف الثالث التي يستخدمها موقع الويب: نظرًا لأن أدوات الطرف الثالث لديها العديد من العملاء، فإن اختراق إحدى هذه الأدوات يعني أن جميع مواقع الويب التي تستخدم هذه الأداة يمكن اختراقها. على سبيل المثال، إذا قام أحد ممثلي التهديد باختراق منصة التجارة الإلكترونية التابعة لجهة خارجية مثل Magento، فإن الآلاف من تجار التجزئة الذين يشاركون في الأعمال التجارية معهم يتعرضون أيضًا لهجوم.
طريقة عمل ماجيكارت
يتم إطلاق هجمات سرقة الويب من جانب العميل من قبل الضحايا غير المرتابين أنفسهم. بمجرد أن يتمكن المهاجم من الوصول إلى موقع الويب ووضع رمز التسلل الخاص بـ Magecart فيه، يبحث الرمز عن صفحة الخروج ويضيف مستمعين إلى زر الإرسال في نموذج الدفع. بعد ذلك، عندما ينقر العميل على زر الإرسال لإرسال تفاصيل بطاقته وغيرها من المعلومات لبدء الدفع، يقوم الرمز الضار بمسح البيانات المدخلة وإرسالها مباشرة إلى خادم المهاجم.
يستخدم مهاجمو Magecart طرقًا وأساليب مختلفة لنشر العدوى ومنع الاكتشاف. بعض التقنيات المستخدمة لتحقيق ذلك هي عن طريق تشفير محتوى الكود، مثل السلاسل، باستخدام خوارزمية Base64، وأيضًا عن طريق التعتيم على التعليمات البرمجية الضارة قبل نشرها.
بمجرد أن يتجاوز المهاجمون أنظمة الأمان ويتصفحون صفحة الدفع بنجاح:
- ثم يبيعون البطاقات المسروقة في أسواق الويب المظلمة أو
- استخدم البطاقات المخترقة لتنفيذ مخططات احتيالية أخرى.
تشريح المقشدة
نستكشف في هذا القسم كيفية تحليل البرامج الضارة للقشدة باستخدام برامج Magecart الضارة كعينة لدينا.
أولاً، يتم إدخال الشفرة الضارة في نموذج دفع شرعي وبمجرد تحميل الصفحة وبدء العميل في التفاعل، يتم تنشيط الشفرة من جانب العميل. عادة ما يتم تشويش الكود لتجنب الاكتشاف.
1. تحتوي الطبقة الأولى من نمط Magecart على مجموعة من DataTokens التي تحتوي على جميع السلاسل المتعلقة بتنفيذ التعليمات البرمجية. في بعض الحالات، سيتم ترميز البيانات باستخدام خوارزمية Base64.
يستخدم Magecart تقنيات التشويش الثقيلة لإخفاء البرامج الضارة للقشدة. ولتحقيق ذلك، يتم تغيير العناصر الموجودة في المصفوفة 5 مرات، مع تدوير هذه العناصر إلى اليمين. تعمل هذه العملية أيضًا على تمكين التعليمات البرمجية الضارة.
2. بمجرد تغيير المصفوفة، يتم فك تشفير DataToken للحصول على البيانات الأصلية. تستخدم الشفرة وظيفة dtoa () لتعديل البيانات التي تم فك تشفيرها بواسطة خوارزمية Base64 إلى نص عادي.
في Image4 يمكننا رؤية DataToken الذي تم فك تشفيره.
3. تخدم الطبقة الأخيرة من شفرة Magecart الضارة وظيفتين. وتتمثل وظيفتها الأولى في البحث عن علامات html التي تحتوي على قيم معرف محددة أو قيم فئة، حيث يتم إدخال البيانات. إحدى العلامات المستهدفة هي «الأزرار»، التي تضيف إليها الشفرة الضارة مستمعًا للحدث. وبمجرد أن ينقر العميل على الزر، يلتقط المستمع جميع تفاصيل البطاقة التي تم إدخالها على الصفحة. صورة 5 يصور هذه الوظيفة.
الوظيفة الثانية مسؤولة عن التخلص من تفاصيل بطاقة الائتمان، والتي تتضمن عادةً رقم البطاقة ورقم CVV والاسم الأول واسم العائلة لحامل البطاقة. تعرض Image6 قائمة المعلومات التي تستخرجها الشفرة الضارة أو تزعجها.
بعد استخراج البيانات، يتم حفظها في التخزين المحلي، ثم يتم تحويلها إلى سلسلة JSON وإرسالها إلى المهاجم.
ومع ذلك، قبل إرسال البيانات، يتم تشفيرها باستخدام خوارزمية تشفير غير متماثلة باستخدام مفتاح عام مشفر باستخدام وظيفة jsEncrypt (). ثم يتم إرسال البيانات المشفرة إلى جهة التهديد.
في نموذج Magecart هذا، يتم تنفيذ التعليمات البرمجية بمجرد تحميل الصفحة. يقوم بتنشيط الزر المستهدف في البداية، متبوعًا بوظيفة تفريغ البيانات.
الخاتمة
لدى الجهات الفاعلة في مجال التهديد طرقًا مختلفة لإخفاء وجودها وإخفاء الشفرة الضارة التي تستخدمها في حملاتها، مما يجعل اكتشافها شبه مستحيل. قد يسمح ذلك لهجمات سلسلة التوريد بالارتفاع، واستهداف الآلاف من منصات التجارة الإلكترونية التي تشترك في نفس الطرف الثالث. في مجال أبحاث استخبارات التهديدات، يمكّن تحليل البرامج الضارة والهندسة العكسية (MA&RE) الباحثين من تحليل وتسجيل العديد من التكتيكات المعقدة التي تستخدمها البرامج الضارة، لتشكيل معلومات قابلة للتنفيذ يمكن استخدامها بعد ذلك لتحصين الشركات والأفراد من مثل هذه الهجمات.
اشترك في موارد CloudSek
احصل على أحدث أخبار الصناعة والتهديدات والموارد.
